二层隔离技术之端口隔离--史晓冬
之前给大家介绍了为什么使用二层隔离,今天具体来看一下几种隔离技术,首先,我们来看下端口隔离技术的使用。
端口隔离的基本原理是在交换机上创建一个端口隔离组,加入同一端口隔离组内的接口之间不能通信,不同隔离组的接口,或者隔离组内接口和未加入隔离组的接口之间可以通信。
端口隔离技术提供一种同一VLAN内主机禁止互访的基本机制,交换机所做的就是基于MAC转发表(二层转发)或路由表(三层转发)判断出接口之后,如果出接口和入接口在同一端口隔离组就丢弃该报文。
华为公司的S系列交换机提供两种“端口隔离”工作模式:
· 1.二层隔离,三层互通
当交换机作为网关时,如果主机之间通过二层互访(源和目的MAC地址都是主机MAC),那么该互访将被阻断。如果主机之间通过三层互访(源或者目的MAC地址是交换机自身三层接口的MAC地址),那么该互访将被允许。
2.二层和三层都隔离
不管主机之间是通过二层互访还是三层互访,只要报文的入接口和出接口在同一端口隔离组内就阻断。
如果交换机只是进行纯二层转发,那么即使在下行接口上配置二层和三层都隔离,那么对于跨VLAN的用户互访报文还是会正常转发。这是因为此时,两台主机之间的互访并不是通过交换机的两个下行口直接进行的。
除了这种基础的隔离机制之外,华为公司的S系列交换机还提供“单向隔离”的机制。
单向隔离主要用于两种场景:
1.接入同一个设备不同接口的多台主机,若某台主机存在安全隐患,往其他主机发送大量的广播报文,可以通过配置接口间的单向隔离来实现其他主机对该主机报文的隔离。
2.正常情况下,同一端口隔离组的接口之间互相隔离,不同端口隔离组的接口之间不隔离。为了实现不同端口隔离组的接口之间的隔离,可以通过配置接口之间的单向隔离来实现。
